Sicherheitsforscher von Lookout, einem Experten für mobile Sicherheit, haben eine Schwachstelle in Google Glass entdeckt: Google Glass führe versteckte Befehle in einem mit der Kamera aufgenommenen Bild automatisch aus. Dadurch wäre es zum Beispiel möglich, einen Kaffee zu bestellen, indem ein Nutzer das Menü fotografiert. Diese Funktion erhöhe jedoch auch das Missbrauchspotential, wenn die Datenbrille den Nutzer nicht nach einer Erlaubnis für das Ausführen bestimmter Aktionen frage und ihn auch nicht darüber informiere, so Lookout. „Uns ging es nicht darum zu zeigen, dass Glass fehlerhaft ist. Es ist ein limitiertes Beta-Produkt, bei dem Hacker und Geeks Fehler finden sollen, bevor es im großen Stil auf den Markt kommt“, so Marc Rogers, Sicherheitsforscher bei Lookout. Aus der Perspektive eines Sicherheitsunternehmens sei es ideal zum „Tüfteln“. „Unser Ziel war vielmehr zu demonstrieren, dass vernetzte Geräte dasselbe Maß an Sicherheit benötigen wie Software auf Smartphones oder PCs“, so Rogers weiter.
Mit der entdeckten Schwachstelle ließe sich die Datenbrille mit einem präparierten Bild oder einem QR-Code auf einem T-Shirt oder einem Poster hacken. So konnten die Sicherheitsforscher Glass heimlich mit einem anderen Bluetooth-Gerät oder WLAN ihrer Wahl verbinden. Damit ließ sich nicht nur das Display der Datenbrille ohne das Wissen ihres Trägers an andere Geräte streamen. Mit Hilfe einer bekannten Web-Schwachstelle von Android war sogar ein Rooten des Geräts und damit die komplette Steuerung der Datenbrille aus der Ferne möglich.
Lookout hat Google gemäß dem Branchenkodex der „verantwortungsbewussten Offenlegung” am 16. Mai über die Schwachstelle informiert. Der Konzern hat die Sicherheitslücke mit dem automatischen Update XE6 behoben und startet die Ausführung von QR-Codes jetzt erst, wenn der Nutzer dies aktiv auslöst.
